虛擬化、云設(shè)施環(huán)境下的合法監(jiān)聽分析

1、虛擬化、云設(shè)施環(huán)境下的合法監(jiān)聽分析摘要：關(guān)鍵詞：關(guān)鍵詞：虛擬化；云設(shè)施；合法監(jiān)聽中圖分類號(hào)：TP39文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1.引言 虛擬化、云設(shè)施為網(wǎng)絡(luò)設(shè)計(jì)提供了更高的靈活性，而且在部署中節(jié)約了成本。但是，與此同時(shí)，這種靈活性也制造了掩蓋非法活動(dòng)的機(jī)會(huì)，還有可能阻撓或延遲執(zhí)法(合法監(jiān)聽Lawful Interception)。因?yàn)樘摂M主機(jī)可以跨地域或跨法律管轄區(qū)地移動(dòng)。合法監(jiān)聽指可以滿足政府對(duì)路由器數(shù)據(jù)進(jìn)行監(jiān)聽的需要。那么則需要通過運(yùn)用適當(dāng)?shù)墓ぞ吆拖嚓P(guān)知識(shí)，來解決融合虛擬化和云設(shè)施環(huán)境下面臨的合法監(jiān)聽和合規(guī)挑戰(zhàn)，以及采取措施來阻止“司法管轄權(quán)越區(qū)”。2.虛擬化、云設(shè)施環(huán)境下的合法監(jiān)聽遇到的挑

2、戰(zhàn)。 2.1監(jiān)控威脅。在當(dāng)前環(huán)境下，執(zhí)法機(jī)構(gòu)和服務(wù)供應(yīng)商需要面臨巨大的壓力，他們面對(duì)的恐怖分子或惡意入侵者，通常具備精湛的技術(shù)能力和豐富的資源。例如，在早些年，我們能夠比較簡(jiǎn)單地識(shí)別點(diǎn)到點(diǎn)應(yīng)用程序或者使用已知端口號(hào)的對(duì)話框，但是現(xiàn)在的流量模式已經(jīng)改變，并且現(xiàn)在大多數(shù)應(yīng)用程序使用標(biāo)準(zhǔn)HTTP和SSL來通信，這對(duì)合法監(jiān)聽系統(tǒng)而言無疑是巨大的負(fù)擔(dān)，他們需要從大量數(shù)據(jù)中識(shí)別更多目標(biāo)，而過濾選項(xiàng)少之又少。社交網(wǎng)絡(luò)無疑更是雪上加霜，讓不法分子可以利用各種加密通信通道來進(jìn)行犯罪活動(dòng)。有效的法律監(jiān)聽技術(shù)必須能夠以前所未有的高速度和高精準(zhǔn)度來收集流量和處理數(shù)據(jù)。 2.2網(wǎng)絡(luò)威脅。根據(jù)法律規(guī)定，服務(wù)供應(yīng)商必須提供

3、必要的設(shè)備以及維護(hù)人員，來滿足合法監(jiān)聽的高風(fēng)險(xiǎn)任務(wù)的獨(dú)特需求。解決方案應(yīng)該遵循合法監(jiān)聽標(biāo)準(zhǔn)，并且能夠隔離可疑語(yǔ)音、視頻或數(shù)據(jù)流，從而基于IP地址、MAC地址或其他參數(shù)進(jìn)行監(jiān)聽。為了實(shí)現(xiàn)這一目標(biāo)，合法監(jiān)聽對(duì)技術(shù)需要具備以下能力： （1）通信流量中任何端點(diǎn)的網(wǎng)絡(luò)流量都是可見的不能存在任何盲點(diǎn)； （2）與網(wǎng)絡(luò)帶寬相匹配的足夠的處理速度； （3）不可檢測(cè)性、不可觀測(cè)性和缺乏性能降低； （4）實(shí)時(shí)監(jiān)控能力，因?yàn)闀r(shí)間是預(yù)防犯罪或攻擊和收集證據(jù)的根本要素；（5）可以攔截所有符合特定目標(biāo)的通信，而且沒有覆蓋盲區(qū)，包括丟包 （6）提供攔截信息作為證據(jù)的能力； （7）對(duì)合法監(jiān)聽系統(tǒng)的流量的負(fù)載共享和負(fù)載均衡的技術(shù)

4、； 此外，網(wǎng)絡(luò)運(yùn)營(yíng)商和服務(wù)供應(yīng)商也有各自的需要，包括成本效益、盡量降低對(duì)網(wǎng)絡(luò)的影響、與享有技術(shù)的兼容性和可擴(kuò)展性等。 2.3缺乏可視性。為了有效地執(zhí)行合法監(jiān)聽，執(zhí)法機(jī)構(gòu)和服務(wù)供應(yīng)商需要對(duì)整個(gè)網(wǎng)絡(luò)具有可視性，包括數(shù)據(jù)中心、核心網(wǎng)絡(luò)和遠(yuǎn)程分支機(jī)構(gòu)等。任何不可見的部分都是容易受到攻擊的。缺乏對(duì)虛擬機(jī)內(nèi)流量的能見度降低了對(duì)虛擬服務(wù)器間傳輸?shù)臄?shù)據(jù)的審計(jì)的能力，這樣最終也無法確定資源虛擬化問題。直到最近，虛擬化本身還是隱形的代名詞，帶來很大的安全、監(jiān)控和合規(guī)風(fēng)險(xiǎn)。 2.4技術(shù)局限性。隨著虛擬化、云設(shè)施的普及，網(wǎng)絡(luò)變得越來越復(fù)雜。網(wǎng)絡(luò)抖動(dòng)、超額認(rèn)購(gòu)和阻塞等問題在萬(wàn)兆網(wǎng)絡(luò)中都被放大了。提高速率會(huì)產(chǎn)生鏈路飽和與

5、過載問題，目前的工具和手段根本無法跟上。當(dāng)隊(duì)列超出物理硬件緩沖區(qū)的大小時(shí)，會(huì)發(fā)生交換過載及丟包的情況。即使在較低流量或平均流量，過載可能造成排隊(duì)，導(dǎo)致短期內(nèi)的最大帶寬占用。延時(shí)和抖動(dòng)也具有風(fēng)險(xiǎn)，因?yàn)榻粨Q機(jī)的每個(gè)物理輸出端口只能傳輸一個(gè)數(shù)據(jù)包。資源沖突則是另一個(gè)對(duì)性能的威脅，當(dāng)來自不同輸入端口的兩個(gè)數(shù)據(jù)包在同一時(shí)間到達(dá)同一個(gè)輸出端口時(shí)可能出現(xiàn)資源沖突。 現(xiàn)有的虛擬監(jiān)控解決方案需要混雜模式和利用交換端口分析器(SPAN)端口。但是交換級(jí)的監(jiān)控要降低vSwitch 50%的吞吐量，因此這種方法需要多個(gè)vSwitch來重復(fù)創(chuàng)建足夠的吞吐能力。而使用SPAN端口會(huì)暴露所有流量。此外，鏡像流量不支持過濾功

6、能，因此無法捕獲限定的所需流量。3.解決措施和方法。 當(dāng)今迅速增長(zhǎng)的數(shù)據(jù)量以及虛擬化加快發(fā)展的步伐給服務(wù)供應(yīng)商滿足合法監(jiān)聽的要求帶來了新的挑戰(zhàn)。虛擬化雖然為企業(yè)創(chuàng)造了驚人的效率和效益，但其本身也為非法活動(dòng)和非法入侵創(chuàng)造了一片樂土。服務(wù)供應(yīng)商有責(zé)任支持執(zhí)法活動(dòng)，對(duì)于合法監(jiān)聽要求，他們面臨著確保虛擬環(huán)境具有相當(dāng)靈活性和能見度的巨大壓力。當(dāng)務(wù)之急應(yīng)該是將安全因素融入網(wǎng)絡(luò)架構(gòu)，而不是將安全視為點(diǎn)解決方案。具有成本效益的虛擬解決方案應(yīng)該從能見度、合規(guī)性、可靠性和生命周期情報(bào)等方面來滿足合法監(jiān)聽需求。 對(duì)于服務(wù)供應(yīng)商而言，充分利用現(xiàn)有在1G工具上的投資并推遲購(gòu)買新的昂貴的萬(wàn)兆監(jiān)測(cè)工具，是非常不錯(cuò)的選擇。為

7、了在虛擬化環(huán)境執(zhí)行合法監(jiān)控任務(wù)，執(zhí)法機(jī)構(gòu)需要服務(wù)供應(yīng)商提供一個(gè)虛擬化跨系統(tǒng)合法監(jiān)控架構(gòu)可以監(jiān)測(cè)和關(guān)聯(lián)vMigration;監(jiān)控虛擬機(jī)間流量和保持多管理程序支持。網(wǎng)絡(luò)虛擬Tap是服務(wù)供應(yīng)商滿足合法監(jiān)聽安全、性能監(jiān)控和合規(guī)需求的理想資源。虛擬Tap會(huì)將雙向鏈接分成兩個(gè)數(shù)據(jù)流，傳感器只有一個(gè)嗅探接口。然后Tap將流量集成到一個(gè)接口，合法監(jiān)聽解決方案還必須映射到虛擬機(jī)生命周期，這些都會(huì)對(duì)監(jiān)測(cè)能力帶來挑戰(zhàn)。這些生命周期事件包括： (1)創(chuàng)建新服務(wù)器 (2)轉(zhuǎn)換，因?yàn)闄C(jī)器的IP地址會(huì)改變，所以監(jiān)測(cè)可能通過vCenter與機(jī)器ID關(guān)聯(lián)進(jìn)行監(jiān)測(cè)。 （3）重定位，管理程序會(huì)在物理服務(wù)器間移動(dòng)虛擬機(jī)。 （4）終止

8、，尤其當(dāng)虛擬機(jī)是為了應(yīng)對(duì)高峰需求而建立的時(shí)候，其將被清除干凈或返回到未知狀態(tài)。3.1將重要流量通過隧道發(fā)送至物理平臺(tái) 對(duì)于需要將物理分路器(Tap)拓展到整個(gè)局域網(wǎng)/廣域網(wǎng)/云架構(gòu)的網(wǎng)絡(luò)來說，高吞吐量隧道工具能夠處理虛擬監(jiān)控機(jī)發(fā)送的壓縮網(wǎng)絡(luò)流量。這一工具針對(duì)原始網(wǎng)絡(luò)流量的點(diǎn)對(duì)點(diǎn)轉(zhuǎn)移進(jìn)行了優(yōu)化，能夠?qū)碜蕴摂M分路器和其他加密隧道設(shè)備的流量以全雙工10GB線速進(jìn)行解壓。這一應(yīng)用的全面部署能力將能夠幫助遠(yuǎn)程位置捕獲相關(guān)流量，即使在容量低的地方也無需設(shè)置本地實(shí)現(xiàn)層或配備IT人員。相關(guān)流量會(huì)解壓并發(fā)送到解決方案中的集中位置，這無疑是托管式服務(wù)提供商的理想選擇。3.2負(fù)載均衡解決過載問題、合理利用1G工具

9、 負(fù)載均衡是一種在多個(gè)工具間共享網(wǎng)絡(luò)數(shù)據(jù)負(fù)載的巧妙策略。借助更多終端的集中智能性，負(fù)載均衡還能夠利用現(xiàn)有的(相對(duì)較為昂貴的)1G工具，這就為服務(wù)提供商規(guī)劃未來發(fā)展提供了更充裕的時(shí)間。 數(shù)據(jù)包深度檢測(cè)(DPI)的預(yù)過濾功能能夠在所有端口實(shí)現(xiàn)目標(biāo)流量檢測(cè)。借助數(shù)據(jù)包深度檢測(cè)，用戶可以識(shí)別相關(guān)數(shù)據(jù)并將其轉(zhuǎn)發(fā)至適當(dāng)?shù)谋O(jiān)測(cè)/記錄工具。當(dāng)用于合法監(jiān)聽時(shí)，用戶可以捕獲和提取通信內(nèi)容(CC)和監(jiān)聽相關(guān)信息(IRI)。數(shù)據(jù)包深度檢測(cè)的過濾功能還可以將符合查詢主題的相關(guān)信息與偶然收集到信息分離開來，然后將信息調(diào)整為預(yù)定義的發(fā)送格式?？傊?，虛擬分路器(Tap)能夠提供全面可視性、可擴(kuò)展性、靈活性和可靠性，以應(yīng)對(duì)高容量虛擬網(wǎng)絡(luò)中的合法監(jiān)聽挑戰(zhàn)。虛擬分路還支持先進(jìn)的負(fù)載均衡和數(shù)據(jù)包深度監(jiān)測(cè)，從而優(yōu)化1G監(jiān)測(cè)能力。參考文獻(xiàn)：【1】陳捷,萬(wàn)莉莉.通信網(wǎng)絡(luò)合法偵聽研究.電力系統(tǒng)通信,2008,29(5):48-50. 【2】張維.CDMA通信網(wǎng)絡(luò)中合法偵聽系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).杭州:浙江大學(xué),2007. 【3】ETSI. ES 201 671-V2.1.1 telecommunications security, lawful Interception(LI), handover interface f